VMware NSX per als més petits. Part 6: Configuració VPN

Primera part. introductori
Segona part. Configuració de tallafocs i regles NAT
Tercera part. Configuració de DHCP
Quarta part. Configuració de l'encaminament
Cinquena part. Configuració de l'equilibri de càrrega

Avui veurem les opcions de configuració de VPN que ens ofereix NSX Edge.

En general, podem dividir les tecnologies VPN en dos tipus clau:

• VPN de lloc a lloc. L'ús més habitual d'IPSec és crear un túnel segur, per exemple, entre una xarxa d'oficina principal i una xarxa en un lloc remot o al núvol.
• VPN d'accés remot. S'utilitza per connectar usuaris individuals a les xarxes privades d'una organització mitjançant programari client VPN.

NSX Edge ens permet fer les dues coses.
La configuració la farem mitjançant un banc de proves amb dos NSX Edges, un servidor Linux amb el dimoni instal·lat mapache i un ordinador portàtil de Windows per provar la VPN d'accés remot.

IPsec

1. A la interfície de vCloud Director, aneu a la secció Administració i seleccioneu vDC. A la pestanya Edge Gateways, seleccioneu l'Edge que necessitem, feu clic amb el botó dret i seleccioneu Edge Gateway Services.
   
2. A la interfície NSX Edge, aneu a la pestanya VPN-IPsec VPN, després a la secció Llocs VPN IPsec i feu clic a + per afegir un lloc nou.

   

3. Ompliu els camps obligatoris:
   • habilitat – activa el lloc remot.
   • PFS – assegura que cada clau criptogràfica nova no estigui associada amb cap clau anterior.
   • Identificació local i punt final localt – Adreça externa de NSX Edge.
   • Subxarxa locals: xarxes locals que utilitzaran VPN IPsec.
   • Peer ID i Peer Endpoint – adreça del lloc remot.
   • Subxarxes d'iguals - xarxes que utilitzaran IPsec VPN al costat remot.
   • Algorisme de xifratge – algorisme de xifratge del túnel.

   
   

   • Authentication – com autenticarem el parell. Podeu utilitzar una clau precompartida o un certificat.
   • clau pre-compartida – indiqueu la clau que s'utilitzarà per a l'autenticació i que ha de coincidir per les dues cares.
   • Grup Diffie-Hellman - algorisme d'intercanvi de claus.

   Després d'omplir els camps obligatoris, feu clic a Mantenir.

   

4. Fet.

   

5. Després d'afegir el lloc, aneu a la pestanya Estat d'activació i activeu el servei IPsec.

   

6. Un cop aplicada la configuració, aneu a la pestanya Estadístiques -> VPN IPsec i comproveu l'estat del túnel. Veiem que el túnel ha pujat.

   

7. Comprovem l'estat del túnel des de la consola de la passarel·la Edge:
   • show service ipsec: comproveu l'estat del servei.

     

   • show service ipsec site: informació sobre l'estat del lloc i els paràmetres acordats.

     

   • show service ipsec sa: comproveu l'estat de l'Associació de Seguretat (SA).

     

8. Comprovació de la connectivitat amb un lloc remot:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   Fitxers de configuració i ordres addicionals per al diagnòstic des del servidor Linux remot:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. Tot està a punt, la VPN IPsec de lloc a lloc està configurada i funcionant.

   En aquest exemple, hem utilitzat PSK per autenticar el parell, però l'autenticació del certificat també és una opció. Per fer-ho, aneu a la pestanya Configuració global, activeu l'autenticació del certificat i seleccioneu el propi certificat.

   A més, haureu de canviar el mètode d'autenticació a la configuració del lloc.

   
   
   
   
   Tinc en compte que el nombre de túnels IPsec depèn de la mida de la passarel·la Edge desplegada (llegiu sobre això a la nostra primer article).

   

VPN SSL

SSL VPN-Plus és una de les opcions VPN d'accés remot. Permet als usuaris remots individuals connectar-se de manera segura a xarxes privades darrere de la passarel·la NSX Edge. S'estableix un túnel xifrat en el cas de SSL VPN-plus entre el client (Windows, Linux, Mac) i NSX Edge.

1. Comencem a configurar. Al tauler de control dels serveis de la passarel·la Edge, aneu a la pestanya SSL VPN-Plus i, a continuació, a Configuració del servidor. Seleccionem l'adreça i el port en què el servidor escoltarà les connexions entrants, activem el registre i seleccionem els algorismes de xifratge necessaris.

   
   
   Aquí podeu canviar el certificat que utilitzarà el servidor.

   

2. Quan tot estigui llest, engegueu el servidor i no us oblideu de desar la configuració.

   

3. A continuació, hem de configurar un conjunt d'adreces que enviarem als clients quan ens connectem. Aquesta xarxa està separada de qualsevol subxarxa existent al vostre entorn NSX i no cal configurar-la en altres dispositius de xarxes físiques que no siguin les rutes que hi apunten.

   Aneu a la pestanya Grups d'IP i feu clic a +.

   

4. Seleccioneu adreces, màscara de subxarxa i passarel·la. Aquí també podeu canviar la configuració dels servidors DNS i WINS.

   

5. La piscina resultant.

   

6. Ara afegim xarxes a les quals tindran accés els usuaris que es connectin a la VPN. Anem a la pestanya Xarxes privades i feu clic a +.

   

7. Omple:
   • Xarxa: xarxa local a la qual tindran accés els usuaris remots.
   • Envia trànsit, té dues opcions:
     - sobre el túnel: envia trànsit a la xarxa a través del túnel,
     — túnel de derivació: envia trànsit a la xarxa directament sense passar pel túnel.
   • Habilita l'optimització de TCP: marqueu aquesta casella si heu seleccionat l'opció sobre túnel. Quan l'optimització està activada, podeu especificar els números de port per als quals voleu optimitzar el trànsit. El trànsit per als ports restants d'aquesta xarxa en particular no s'optimitzarà. Si no s'especifiquen els números de port, el trànsit per a tots els ports s'optimitza. Llegeix més sobre aquesta funció aquí.

   

8. A continuació, aneu a la pestanya Autenticació i feu clic a +. Per a l'autenticació utilitzarem un servidor local al mateix NSX Edge.

   

9. Aquí podem seleccionar polítiques per generar noves contrasenyes i configurar opcions per bloquejar comptes d'usuari (per exemple, el nombre de reintents si la contrasenya s'introdueix incorrectament).

   
   
   

10. Com que estem utilitzant l'autenticació local, hem de crear usuaris.

    

11. A més de coses bàsiques com el nom i la contrasenya, aquí podeu, per exemple, prohibir que l'usuari canviï la contrasenya o, per contra, obligar-lo a canviar la contrasenya la propera vegada que iniciï sessió.

    

12. Després d'haver afegit tots els usuaris necessaris, aneu a la pestanya Paquets d'instal·lació, feu clic a + i creeu el propi instal·lador, que l'empleat remot descarregarà per instal·lar-lo.

    

13. Feu clic a +. Seleccionem l'adreça i el port del servidor al qual es connectarà el client, i les plataformes per a les quals hem de generar un paquet d'instal·lació.

    
    
    A continuació, en aquesta finestra, podeu especificar la configuració del client per a Windows. Trieu:

    • iniciar el client en iniciar la sessió: el client VPN s'afegirà a l'inici a la màquina remota;
    • crear icona d'escriptori: crearà una icona de client VPN a l'escriptori;
    • validació del certificat de seguretat del servidor: validarà el certificat del servidor després de la connexió.
      La configuració del servidor s'ha completat.

    

14. Ara descarreguem el paquet d'instal·lació que vam crear a l'últim pas a l'ordinador remot. En configurar el servidor, vam especificar la seva adreça externa (185.148.83.16) i el port (445). És a aquesta adreça on hem d'anar al navegador web. En el meu cas ho és 185.148.83.16: 445.

    A la finestra d'autorització, heu d'introduir les credencials de l'usuari que hem creat anteriorment.

    

15. Després de l'autorització, veiem una llista de paquets d'instal·lació creats disponibles per descarregar. Només n'hem creat un: el descarregarem.

    

16. Feu clic a l'enllaç i començarà la descàrrega del client.

    

17. Descomprimiu l'arxiu descarregat i executeu l'instal·lador.

    

18. Després de la instal·lació, inicieu el client i feu clic a Inici de sessió a la finestra d'autorització.

    

19. A la finestra de verificació del certificat, seleccioneu Sí.

    

20. Introduïm les credencials de l'usuari creat anteriorment i veiem que la connexió s'ha completat correctament.

    
    
    

21. Comprovació de les estadístiques del client VPN a l'ordinador local.

    
    
    

22. A la línia d'ordres de Windows (ipconfig /all) veiem que ha aparegut un adaptador virtual addicional i hi ha connectivitat amb la xarxa remota, tot funciona:

    
    
    

23. I, finalment, comproveu des de la consola Edge Gateway.

    

VPN L2

L2VPN serà necessari quan necessiteu combinar-ne diversos geogràficament
xarxes distribuïdes en un domini de difusió.

Això pot ser útil, per exemple, quan es migra una màquina virtual: quan una màquina virtual es mou a una altra ubicació geogràfica, la màquina conservarà la seva configuració d'adreça IP i no perdrà la connectivitat amb altres màquines situades al mateix domini L2 amb ella.

En el nostre entorn de prova, connectarem dos llocs entre si, anomenarem-los respectivament A i B. Tenim dos NSX i dues xarxes encaminables creades de manera idèntica, lligades a diferents Edges. La màquina A té l'adreça 10.10.10.250/24, la màquina B té l'adreça 10.10.10.2/24.

1. A vCloud Director, aneu a la pestanya Administració, aneu al VDC que necessitem, aneu a la pestanya Org VDC Networks i afegiu dues xarxes noves.

   

2. Seleccionem el tipus de xarxa encaminada i enllacem aquesta xarxa al nostre NSX. Marqueu la casella de selecció Crea com a subinterfície.

   

3. Com a resultat, hauríem de tenir dues xarxes. Al nostre exemple, s'anomenen xarxa-a i xarxa-b amb la mateixa configuració de passarel·la i la mateixa màscara.

   
   
   

4. Ara passem a la configuració del primer NSX. Aquest serà el NSX al qual està connectada la xarxa A. Actuarà com a servidor.

   Torneu a la interfície NSx Edge/Vés a la pestanya VPN -> L2VPN. Activem L2VPN, seleccionem el mode de funcionament del servidor i a la configuració global del servidor especifiquem l'adreça IP externa de NSX on escoltarà el port del túnel. Per defecte, el sòcol s'obrirà al port 443, però això es pot canviar. No oblideu seleccionar la configuració de xifratge per al futur túnel.

   

5. Aneu a la pestanya Llocs del servidor i afegiu un peer.

   

6. Encenem el peer, establim un nom, una descripció, si cal, establim un nom d'usuari i una contrasenya. Aquestes dades les necessitarem més endavant quan configurem el lloc del client.

   A Egress Optimization Gateway Address establim l'adreça de la passarel·la. Això és necessari per evitar un conflicte d'adreces IP, perquè la passarel·la de les nostres xarxes té la mateixa adreça. A continuació, premeu el botó SELECT SUB-INTERFACES.

   

7. Aquí seleccionem la subinterfície desitjada. Desa la configuració.

   

8. Veiem que el lloc de client acabat de crear ha aparegut a la configuració.

   

9. Ara passem a la configuració de NSX des del costat del client.

   Anem a NSX costat B, anem a VPN -> L2VPN, activem L2VPN, configurem el mode L2VPN al mode operatiu del client. A la pestanya Client Global, configureu l'adreça i el port de NSX A, que prèviament vam especificar com a IP d'escolta i Port al costat del servidor. També és necessari establir els mateixos paràmetres de xifratge perquè siguin coherents quan s'aixequi el túnel.

   
   
   Desplaceu-vos cap avall i seleccioneu la subinterfície a través de la qual es construirà el túnel per a L2VPN.
   A Egress Optimization Gateway Address establim l'adreça de la passarel·la. Estableix l'identificador d'usuari i la contrasenya. Seleccioneu la subinterfície i no us oblideu de desar la configuració.

   

10. De fet, això és tot. La configuració del costat del client i del servidor és gairebé idèntica, amb l'excepció d'alguns matisos.
11. Ara podem veure que el nostre túnel funciona anant a Estadístiques -> L2VPN a qualsevol NSX.

    

12. Si ara anem a la consola de qualsevol Edge Gateway, veurem les adreces de les dues màquines virtuals a la taula arp de cadascuna d'elles.

    

Això és tot per a mi sobre VPN a NSX Edge. Pregunteu si queda alguna cosa poc clara. Aquesta és també l'última part d'una sèrie d'articles sobre el treball amb NSX Edge. Esperem que hagin estat útils :)

Font: www.habr.com